Kas tai? Eksperto įžvalgos

Nauja pareiga — vertinti poveikį duomenų apsaugai

Reklama publikuota: 2017-11-06
svg svg

Bendrajame duomenų apsaugos reglamente yra dar viena naujovė - pareiga atlikti vadinamąjį poveikio duomenų apsaugai vertinimą, kuri atsiranda esant tikimybei, kad duomenų tvarkymo operacijų metu kils didelis pavojus asmenų teisėms ir laisvėms. Čia kalbama ne tik apie pavojų privatumui ir asmens duomenims, nors tai, žinoma, išlieka pagrindinis rūpestis. Žvelgiama plačiau - pavojus gali kilti asmenų žodžio, minties, religijos, saviraiškos laisvėms, nuosavybės, laisvo judėjimo teisėms ir kt.

Šis įpareigojimas taip pat bus taikomas nuo Reglamento įsigaliojimo dienos ir bus skirtas tiek duomenų valdytojams ir tvarkytojams ūkio subjektams (ir juridiniams, ir fiziniams asmenims), tiek valstybinės valdžios institucijoms. Už jo nevykdymą, kaip ir kitais Reglamento pažeidimo atvejais, numatomos milžiniškos baudos.

Poveikio duomenų apsaugai vertinimas (angl. Data Protection Impact Assessment, toliau — DPIA) iš esmės yra ne kas kita, kaip jau žinomas duomenų apsaugos įmonėje, įstaigoje, organizacijoje auditas, kurio metu yra įvertinamos atliekamos operacijos bei ateičiai parenkami tam tikri sprendimai, turintys užtikrinti duomenų subjektų teisių ir laisvių apsaugą duomenų tvarkymo operacijų metu.

Šiuo metu galiojanti pareiga duomenų valdytojams (tvarkytojams), prieš pradedant tvarkyti asmens duomenis, registruotis Asmens duomenų valdytojų registre nuo Reglamento įsigaliojimo dienos yra naikinama, vadinasi, formaliai mažinama ūkio subjektams tenkanti administracinė našta. Tačiau iš tiesų naujasis reikalavimas atlikti DPIA daugumai subjektų bus rimtas iššūkis ir pareikalaus ne tik laiko, tam tikrų žinių, bet ir papildomų finansinių įmonės, įstaigos ar organizacijos resursų.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Kai kalbame apie DPIA, mintyse turime du aspektus. Pirma, duomenų valdytojas (tvarkytojas) turi įsivertinti, ar, prieš pradedant tvarkyti asmens duomenis, jam apskritai yra privaloma atlikti DPIA (be abejo, ūkio subjektas gali atlikti DPIA ir savanoriškai). Antra, jei atsakymas teigiamas, jis turi atlikti ir įgyvendinti patį DPIA bei, jei to konkrečiu atveju reikalauja Reglamentas, tokio vertinimo rezultatus pateikti priežiūros institucijai.

Jau užsiminiau, kad DPIA nėra privalomas visais atvejais, o tik kai duomenų tvarkymo operacijų metu fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus. Savaime suprantama, didelis yra vertinamoji sąvoka, tačiau Reglamentas pateikia nebaigtinį sąrašą kriterijų, kuriuos valdytojui (tvarkytojui) atpažinus savo veikloje būtų laikoma, kad duomenų tvarkymo operacijų keliamas pavojus yra didelis. Tam tikrais itin išimtiniais atvejais, net ir nustačius didelį pavojų, Reglamentas leidžia DPIA neatlikti.

Reglamentas didelį pavojų visuomet sieja su duomenų tvarkymo operacijomis, kurios apima naujų technologijų naudojimą arba yra naujos rūšies operacijos, arba susijusios su duomenų perdavimu už ES ribų. Galioja taisyklė, kad jei duomenų valdytojui (tvarkytojui) kyla abejonių, ar jam poveikio vertinimas yra privalomas, rekomenduojama DPIA atlikti.

Pirma kriterijų grupė apima situacijas, kai duomenų valdytojo (tvarkytojo) veikla yra susijusi su sistemingu ir įvairiapusiu duomenų subjekto asmeninių aspektų automatizuotu vertinimu (įskaitant profiliavimą), kai tai duomenų subjekto atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį. Šių operacijų metu yra siekiama analizuoti arba numatyti tokius duomenų subjekto asmeninius aspektus, kurie yra susiję su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu. Tokių veiklų pavyzdžiai galėtų būti e. parduotuvės atliekama jos klientų pirkimų istorijos analizė, siekiant pasiūlyti individualizuotą produktų krepšelį, arba trumpiausio kelionės maršruto sudarymas ir pasiūlymas programėlės naudotojui, remiantis programėlės surinkta informacija apie jo buvimo vietą, judėjimo greitį, naudojamą transporto priemonę, ir pan.

Antra kriterijų grupė numato, jog DPIA turės būti atliekamas, jei duomenų valdytojo (tvarkytojo) veikla yra susijusi su Reglamente nurodytų specialių kategorijų duomenų tvarkymu dideliu mastu. Tai liečia tiek tam tikrų kategorijų duomenų subjektus, pavyzdžiui, vaikus, psichinėmis ligomis sergančius asmenis, senjorus ir kt., arba tai yra susiję su tam tikrų kategorijų duomenimis, pavyzdžiui, apie teistumą, sveikatą, politines pažiūras, finansinę padėtį, taip pat asmens privatų susirašinėjimą bei tokią asmeniniams poreikiams tenkinti naudojamą informaciją ir duomenis, kaip antai, nuotraukas, užrašus, laikomus „debesyje“ ar kitose duomenų e. kaupyklėse, ir pan. Didelis mastas reiškia, kad yra atliekama tiek ir tokių duomenų tvarkymo operacijų, kuriomis siekiama regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų, kurios galėtų daryti poveikį daugeliui duomenų subjektų.

Trečia kriterijų grupė apima veiklas, kurių metu yra atliekamas sistemingas viešos vietos stebėjimas dideliu mastu. Šis kriterijus padeda užtikrinti tokių valdytojo (tvarkytojo) veiklų kontrolę, kurių metu viešose vietose stebimi duomenų subjektai paprastai nežino, kas juos stebi bei kaip jų duomenys vėliau gali būti panaudojami, nekalbant apie tai, kad esama daug situacijų, kai duomenų subjektai gali nė nežinoti, kad apskritai yra stebimi, pavyzdžiui, vaizdo stebėjimo gatvėse, viešojo transporto stotelėse ir kt. atveju.

Savaime suprantama, nesant didelio pavojaus asmenų teisėms ir laisvėms, arba jei DPIA jau anksčiau buvo atliktas panašaus turinio operacijoms įvertinti ir jos stipriai nesikeitė, arba egzistuoja teisinis pagrindas ES arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojui (tvarkytojui), ir tokia teisė reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, pareiga atlikti DPIA neatsiranda.

Kalbant apie tai, kaip DPIA turi būti atliekamas, į pagalbą duomenų valdytojui (tvarkytojui) ateina duomenų apsaugos pareigūnas, jei tokį valdytojas (tvarkytojas) privalo turėti arba savanoriškai nusprendžia turėti. Reglamente yra pateikti kertiniai orientaciniai DPIA atlikimo metodologijos etapai, numatantys, jog vertinime turi būti bent jau:

  1. aprašomos duomenų tvarkymo operacijos, tvarkymo tikslai; 2. aprašomas duomenų tvarkymo operacijų reikalingumas ir proporcingumas, palyginti su tikslais, ir pateikiamas to vertinimas; 3. įvertinamas pavojus duomenų subjektų teisėms ir laisvėms; 4. aprašomos tokiems pavojams šalinti reikalingos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi Reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

Naujasis reguliavimas numato pareigą nacionalinėms priežiūros institucijoms (Lietuvoje — Valstybinei duomenų apsaugos inspekcijai) iki 2018 m. balandžio 30 d. sudaryti ir viešai paskelbti duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti DPIA, sąrašą, taip pat ir sąrašą tokių operacijų, kurioms vertinimo atlikimo reikalavimas netaikomas. Susipažinus su šiais sąrašais, ūkio subjektams bus neabejotinai daug paprasčiau įsivertinti, ar jų veiklai reikalingas DPIA, o iki to laiko duomenų valdytojams (tvarkytojams) rekomenduojama pradėti savarankiškai analizuoti savo veiklos procesus ir operacijų turinį jau aptartų kriterijų ir metodologijos etapų kontekste.

Visais atvejais DPIA turės būti atliekamas iš naujo, kai keisis atliekamų procesų ir operacijų turinys. Nesant tokių duomenų valdytojo (tvarkytojo) veiklos pokyčių, rekomenduojama, jog DPIA būtų kartojamas kas treji metai, arba, priklausomai nuo vykdomos veiklos pobūdžio, — ir daug dažniau.

Taigi, kad ir kokį metodą pasirinktų duomenų valdytojas (tvarkytojas), įgyvendindamas anksčiau aptartus etapus ir siekdamas DPIA numatytų tikslų, svarbu, kad poveikio duomenų apsaugai vertinimas nebūtų laikomas dar viena formalia pareiga. Naujuoju reguliavimu siekiama, kad patys valdytojai (tvarkytojai) DPIA suprastų kaip reikšmingą bei naudingą vidinį įmonės, įstaigos, organizacijos procesą, kurio tikslus įmanoma pasiekti tik su sąlyga, kad toks vertinimas yra atliekamas kruopščiai ir teisingai, laikantis Reglamento reikalavimų ir įsiklausant į rekomendacijas.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Tema „Verslo aplinka“
VŽ klausomiausi podkastai kovą

Pateikiame daugiausia „Verslo žinių“ prenumeratorių dėmesio sulaukusių podkastų TOP 10.

M. Dubnikovas: Vyriausybės planas amortizuos sparčiai augančias kainas

Lietuvos verslo konfederacijos viceprezidentas, finansų analitikas Marius Dubnikovas sako, kad Vyriausybės 2...

Finansai
15:23
„Gera dovana“ ragina padėti Ukrainos žmonėms, skirdama papildomų lėšų Verslo tribūna

Agresija Ukrainoje sukrėtė kiekvieną ir iškėlė daug klausimų įmonėms. Neramino galima karo veiksmų įtaka...

R. Rainys: neapsaugota organizacija anksčiau ar vėliau tampa kibernetinės atakos auka Premium

Dirbant Nacionaliniame kibernetinio saugumo centre (NKSC) kartais būdavo apmaudu, jog verslas ir kitos...

Inovacijos
15:04
Ekonomistai: skubiai įdarbintas antiinfliacinis ir investicijų planas padės išvengti nuosmukio

Penktadienį Vyriausybės rūmuose pristatytas 2,26 mlrd. Eur vertės antiinfliacinis paketas gyventojams ir...

Finansai
14:28
Politikai sveikina Vyriausybės antiinfliacinį planą, bet žada ir papildomų pasiūlymų

Seimo valdančiųjų ir opozicinių frakcijų lyderiai penktadienį pasveikino Vyriausybės pateiktą antiinfliacinį...

Kinija toliau skleidžia Maskvos melus ir atsisako invaziją įvardinti karu, Indija susilaukė S. Lavrovo pagyrų

Kinija penktadienį apkaltino Jungtines Valstijas karo Ukrainoje kurstymu ir pareiškė, kad po Sovietų Sąjungos...

Serbijos rinkimuose – Rusijos pradėto karo Ukrainoje šešėlis

Rusijai pradėjus karą Ukrainoje Aleksandras Vučičius, Serbijos prezidentas, prieš šį sekmadienį šalyje...

V. Dombrovskis: ES aiškiai apsisprendė mažinti priklausomybę nuo rusiškų dujų

Europos Sąjunga (ES) planuoja iki šių metų pabaigos dviem trečdaliais sumažinti savo priklausomybę nuo...

Čekijos bankas padidino bazines palūkanas iki 5% infliacijai pažaboti

Čekijos centrinis bankas vėl padidino bazines palūkanas, siekdamas pažaboti sparčiai augančią infliaciją.

Rinkos
12:37
Kremliaus propagandinių laidų vedėjui A. Šeininui Lietuva pritaikė finansines sankcijas 2

Rusijos propagandistui, televizijos laidų vedėjui Artiomui Šeininui Lietuvoje pritaikytos finansinės...

A. Skinulis. Tvarumas, kuris apsimoka 2

Tvarumas sukelia daug triukšmo ne tik visame pasaulyje, bet ir Lietuvoje. Yra daug ataskaitų, krypčių,...

Nuomonės
11:27
Milijardinis antiinfliacinis planas: kompensacijos, dotacijos, didesnis NPD 14

Itin didelio infliacijos šuolio amortizavimui Vyriausybė siūlo skirti daugiau kaip dviejų milijardų eurų...

Prof. D. Žalimas: Rusijos vadovybės laukia tribunolas Premium

Prof. Dainius Žalimas, konstitucinės teisės specialistas, buvęs Konstitucinio Teismo pirmininkas, VŽ podkaste...

Ketvirtadienį – 2.972 nauji COVID-19 atvejai

Lietuvoje ketvirtadienį nustatyti 2.972 nauji COVID-19 atvejai, mirė 7 žmonės, rodo Lietuvos statistikos...

ES ir Kinijos lyderiai susės sunkiam pokalbiui – Bendrija tikisi išgirsti Pekino raudonąsias linijas Rusijos atžvilgiu Premium

Europos Sąjungos (ES) ir Kinijos vadovų penktadienį laukia sudėtingiausias iki šiol organizuotas viršūnių...

JAV: V. Putinas galėjo skirti daliai savo patarėjų namų areštą

Joe Bidenas, JAV prezidentas, ketvirtadienį sakė, kad Vladimiras Putinas, Rusijos vadovas, likęs „izoliuotas“...

ES viršūnių susitikime su Kinija pagrindinis dėmesys skirtas karui Ukrainoje

Europos Sąjunga (ES) penktadienį surengs virtualų viršūnių susitikimą su Kinija, augant nerimui dėl vis...

Nukabinkime iškabą „Visi išėjo į frontą“ 3

Vyriausybė šiuo metu rengia antiinfliacinių priemonių paketą ir netrukus jis turėtų būti pristatomas viešai.

Nuomonės
05:50
Lietuvos vaidmuo bręstant pasaulinei maisto krizei: galimybė, realybė ir grėsmė Premium 2

Lietuva yra viena didžiausių grūdų eksportuotojų Europoje – esame 5 vietoje. Reaguojant į kylančias maisto...

Pramonė
05:45

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku